fbpx

Den registreredes rettigheder

REGISTREREDES RETTIGHEDER

Databeskyttelsesforordningen bringer kontrollen med data tilbage til den regi­stre­re­de. Det betyder, at de registrerede blandt andet har en række ret­tig­he­der, her­un­der navnlig ret til gen­nem­sig­tig­hed, i for­hold til de oplys­nin­ger, der behand­les om den pågæl­den­de.

Ret til gennemsigtighed

Gen­nem­sig­tig­hed giver for det første den regi­stre­re­de mulig­hed for at vurdere, om man på de givne betingelser i det hele taget vil afgi­ve oplys­nin­ger til den dataansvarlige. For det andet kan den regi­stre­re­de kon­trol­le­re, at oplys­nin­ger­ne, der behandles, er rig­ti­ge, og at behand­lin­gen i det hele taget er lov­lig.

I den sammenhæng skal man som dataansvarlig navnlig være opmærksom på pligten til selvstændigt at oplyse den registrerede om muligheden for at gøre indsigelse efter databeskyttelsesforordningens artikel 21, hvis grundlaget for behandlingen blandt andet er bestemmelsen i artikel 6, stk. 1, litra f. Efter denne bestemmelse kan man behandle ikke-følsomme oplysninger, hvis man har en legitim interesse, medmindre den registreredes interesser går forud herfor.

Ny praksis ved behandling af følsomme oplysninger

Yderligere skal man være opmærksom på, at Datatilsynet har ændret sin praksis vedrørende hjemlen til at behandle oplysninger. Tidligere forudsatte man, at hvis der var hjemmel til at behandle følsomme oplysninger efter artikel 9 (eksempelvis man skal bruge oplysningerne til at gøre et retskrav gældende), så var der også hjemmel til at behandle de almindelige oplysninger efter artikel 6.

Med den ændrede praksis skal der nu findes selvstændigt hjemmel i artikel 6 til at behandle de almindelige oplysninger. Artikel 6 har ikke en hjemmel, der svarer til retskravsbestemmelsen i artikel 9, stk. 2, litra f. Ofte vil det derfor være interesseafvejningshjemlen i artikel 6, stk. 1, litra f, man skal anvende. Det betyder til gengæld, at man klart og tydeligt skal orientere de registrerede om indsigelsesretten i artikel 21 for så vidt angår de almindelige oplysninger.

Læs om Datatilsynets ændrede praksis her

Hvilke rettigheder har den registrerede?

Den data­ansvar­li­ge skal på eget ini­ti­a­tiv oply­se den regi­stre­re­de herom, hvis der ind­sam­les og behand­les oplys­nin­ger om den pågæl­den­de. Den registrerede skal bl.a. oplyses om formålet med behandlingen, hjemmelsgrundlaget, kategorier af modtagere, hvornår den registreredes oplysninger slettes, og den registreredes rettigheder.

Den regi­stre­re­de kan til hver en tid bede den data­ansvar­li­ge oply­se, om der behand­les oplys­nin­ger om ved­kom­men­de og i så fald hvil­ke oplys­nin­ger, til hvil­ket for­mål og kate­go­ri­er af even­tu­el­le mod­ta­ge­re af oplys­nin­ger­ne mv. Ret til ind­sigt fin­der man også i sær­lov­giv­nin­gen – eksem­pel­vis har man efter sund­heds­lo­v­giv­nin­gen ret til ind­sigt i sine patientjour­na­ler.

Den registrerede kan gøre indsigelse mod, at oplysninger om vedkommende behandles og kan også kræve en behandling begrænset til færre oplysninger.

Den regi­stre­re­de kan kræve, at even­tu­elt urig­ti­ge eller vild­le­den­de oplys­nin­ger berig­ti­ges, slet­tes eller blo­ke­res, og at even­tu­el­le tred­je­mænd, der måtte have mod­ta­get oplys­nin­ger­ne, bli­ver ori­en­te­ret om, at oplysningerne er berig­ti­get eller slettet.

Den regi­stre­re­de kan til enhver tid til­ba­ge­kal­de et samtyk­ke til behand­ling af oplys­nin­ger, hvilket de klart og utvetydigt skal informeres om i forbindelse med, at man indhenter et samtykke.

Den registrerede kan desuden klage til Datasynet over en behandling af den pågældendes personoplysninger.

Hvordan skal den dataansvarlige sikre overholdelse af reglerne for registreredes rettigheder?

For at kunne opfyl­de ret­tig­heds­reg­ler­ne bør man have kort­lagt kategorierne af registrerede i ens organisation, samt hvilke oplysninger man indsamler og til hvilke formål. Det skal også klarlægges, hvor oplysningerne befinder sig i organisationens tekniske systemer – det kan være flere forskellige steder alt afhængig af, om der er tale om en medarbejder, en kunde eller en anden erhvervsmæssig kontakt.

Derudover bør man have gen­nem­gå­et og opti­me­ret pro­ce­du­rer­ne for registrering/opbevaring af oplysninger, så der bliver stringens og samling på oplysningerne, ligesom man skal have klarlagt opgave-/ansvarsfordelingen i orga­ni­sa­tio­nen.

Den konkrete og prak­ti­ske opfyl­del­se af en rettighed kan dog stadig rejse van­ske­lig­he­der i for­hold til form og ind­hold. I udgangs­punk­tet omfat­ter ret­ten til ind­sigt eksem­pel­vis alle oplys­nin­ger, altså også oplys­nin­ger regi­stre­ret på medarbejderes loka­le drev, lige­som per­so­ner, der omta­les i andres sager, i udgangs­punk­tet skal oply­ses om behand­lin­gen og kan kræve ind­sigt. Systemet bør derfor indrettes sådan, at alle – også tredjeparter – kan søges frem.

Man bør desuden så vidt muligt samle alle registreringer i sagsbehandlingssystemer og instruere sit personale om, at klienters, kunders eller medlemmers personoplysninger ikke må arkiveres/opbevares på lokale drev eller i ex. mailsystemet.

 

Undtagelser til den registreredes rettigheder

Af hen­syn til ikke at gøre reg­ler­ne unø­digt byr­de­ful­de og omkost­nings­tun­ge, gæl­der der en række und­ta­gel­ser. Van­ske­lig­he­der­ne ved at opfyl­de en oplys­nings­pligt over­for en mere peri­fer regi­stre­ret vil eksem­pel­vis ikke altid stå mål med det udbyt­te, den pågæl­den­de får af under­ret­nin­gen. Der skal herefter ikke gives oplysning, hvis det vil kræve en uforholdsmæssig stor indsats.

Derudover gælder et naturligt hensyn til tavshedspligt og behovet for fortrolighed. Der kan være uhel­di­ge kon­se­kven­ser forbundet med en under­ret­ning efter oplysningspligtreglerne eller en opfyldelse af en indsigtsanmodning, hvis den registreredes oplys­nin­ger eksem­pel­vis ind­går i en sag, en fagforening behandler for et medlem, og hvis hensynet til medlemmet tilsiger, at sagen holdes fortrolig.

 

Rådgivning den registreredes rettigheder

Før man und­la­der at opfyl­de en ret­tig­hed, skal man dog grun­digt over­ve­je, om und­ta­gel­ses­be­tin­gel­sen nu også er opfyldt. Hoved­for­må­let med data­be­skyt­tel­ses­lo­v­giv­nin­gen er at beskyt­te den regi­stre­re­de, hvilket i sig selv indebærer, at undtagelserne er snævre. Hertil kommer, at databeskyttelse inde­bæ­rer et bøde­ni­veau af en hidtil uset stør­rel­se inden for databeskyttelsesretten.

Det er derfor en god idé at søge juri­disk bistand, hvis man modtager en klage eller en anmodning fra en registreret, idet sådanne henvendelser kan rejse en række GDPR-relaterede spørgs­mål, man ikke altid lige kan finde svar på.

Kontakt os

Har du derfor spørgsmål eller brug for hjælp, er du velkommen til at kontakte os for en uforpligtende drøftelse af dine muligheder.

Kira Kolby Christensen

Partner

Læs også om

NYHEDSBREV SIGN-UP

Du er tilmeldt vores nyhedsbrev